飘云阁

用户名  找回密码
 加入我们

QQ登录

只需一步,快速开始

查看: 11660|回复: 28

[分享] 菜鸟的PE结构学习之路(一) 认识DOS头

[复制链接]
  • TA的每日心情
    开心
    2015-8-2 16:07
  • 签到天数: 2 天

    [LV.1]初来乍到

    发表于 2014-9-16 19:49:22 | 显示全部楼层 |阅读模式
    本帖最后由 F8LEFT 于 2014-9-16 21:42 编辑

            菜鸟在此,大牛飞过~~~~~~~
         以上仅为个人的一点小小的心得,有什么不对的地方还请各位指出。


            大家好,我是F8。这次我机智的来水贴了,顺便骗分骗经验。啦啦啦,求别打我。
           这次参考的书籍主要为《Windows PE权威指南》,写得挺有趣的一本书,有兴趣的也请去看看。
           那么,下面正式开始:

    ----------------------------------请叫我分割线-------------------------------------分割线-----------------------------------
          
          首先,请大家看一下下面一组数据:

          张三 1992 22 清华大学计算机系  
          你会怎么解读?
    ①张三,1992年生,现年22岁,就读于清华大学计算机。
    ②张三,1992年22岁时毕业于清华大学计算机系。

         看,不同的人会有不同的解析对吧。更加要命的是观众无法判断到底哪一种理解才是正确的,真正的意思只有写出这几个数据的人才会理解。于是,如果写数据的人同时给出了这么一个结构

    结构 学生 {
        字符串 名字
        数字    出生日期
        数字    先有年龄
        字符串 就读专业
    }
        嘎嘎,这不就是第一种情况嘛~~~
        这就是数据结构的概。以某种方法对数据进行排列,解析的概念。

         紧接着,我再给出一组数据
    4D 5A 90 00 03 00 00 00  04 00 00 00 FF FF 00 00
    B8 00 00 00 00 00 00 00  40 00 00 00 00 00 00 00
    00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00
    00 00 00 00 00 00 00 00  00 00 00 00 C8 00 00 00     
        这更加难看懂了!(⊙v⊙)嗯,乍看之下还可能会以为是一堆乱码!!
        不过,一旦尝试按照一定的方法去解析它的话,就会发现这看起来无规律的东西瞬间被赋予了意义
        比如说,4D 5A 对应于ASCII码"MZ",众所周知,这是微软的一个幻数,用来标识PE文件的。
        实际上,上面的数据就是DOS头的第一部分,IMAGE_DOS_HEADER,而那个4D 5A,就对应于一个成员e_magic
        废话说多了,下面我就直接给出IMAGE_DOS_HEADER的定义吧。

    IMAGE_DOS_HEADER STRUCT
      e_magic        WORD  ?   ;0000h - EXE标志,"MZ"
      e_cblp           WORD  ?   ;0002h - 最后(部分)页中的字节数
      e_cp             WORD  ?   ;0004h - 文件中的全部和部分页数
      e_crlc            WORD  ?   ;0006h - 重定位表中的指针数
      e_cparhdr     WORD  ?   ;0008h - 头部尺寸,以段落为单位
      e_minalloc     WORD  ?   ;000ah - 所需的最小附加段
      e_maxalloc    WORD  ?   ;000ch - 所需的最大附加段
      e_ss              WORD  ?   ;000eh - 初始的SS值(相对偏移量)
      e_sp             WORD  ?   ;0010h - 初始的SP值
      e_csum         WORD  ?   ;0012h - 补码校验值
      e_ip               WORD  ?   ;0014h - 初始的IP值
      e_cs              WORD  ?   ;0016h - 初始的CS值
      e_lfarlc           WORD  ?   ;0018h - 重定位表的字节偏移量
      e_ovno         WORD  ?   ;001ah - 覆盖号

      e_res            WORD 4dup(?);001ch - 保留字
      e_oemid       WORD  ?   ;0024h - OEM标识符(相对e_oeminfo)
      e_oeminfo    WORD  ?   ;0026h - OEM信息
      e_res2          WORD 10dup(?);0028h - 保留字
      e_lfanew       DWORD ?   ;003ch - PE头相对于文件的偏移地址
    IMAGE_DOS_HEADER ENDS
          作为一个过来人,我可以很负责的告诉你,对于这个结构,我们一般只关心它的两个成员

    e_magic:  标识该文件是否为PE文件,应当为4D 5A (MZ)
    e_lfanew: 标识出PE头的相对偏移地址。
         恰好是一头一尾,除了最后一个成员为4字节以外,都是占用2字节,非常的好记。
         于是,对IMAGE_DOS_HEADER结构的介绍就到此为止了。这个结果的长度在32位系统下,恰好是40h,WinHex中恰好占头用4行,应该是很容易辨别的。 [XEX4H5FV9O0_~P`U61}4K3.jpg
         紧接着IMAGE_DOS_HEADER,排在PE头前面的,是一个叫做DOS Stub的结构,大小不固定,随着编译器的不同而发生改变。实际上是一个小型的DOS程序,运行在16位系统上,来提示该程序是32位程序的。这里来简单介绍一下。
         DOS Stub数据
    0E 1F BA 0E 00 B4 09 CD  21  .........
    反汇编一下就是:
    0E      PUSH CS                             ;将CS段地址给DS
    1F      POP  DS
    BA0E00  MOV  DX,000E            ;DS:DX指向要显示的字符串数据处
    B409    MOV  AH,09                  ;调用9号中断,屏幕显示字符串
    CD21    INT  21
    B8044C  MOV  AX,4C01            ;调用4号中断,正常退出程序
    CD21    INT  21
    ...........字符串数据
    WPF1%7]{}34Y)12`$FY`@$S.jpg
         很简单的内容,有兴趣的话也可以自行修改。只要不要忘记了,如果改动了PE头的位置,必须把IMAGE_DOS_HEADER.lfanew的指向重新改一下,指回PE头。

          有了这样的一些基本的内容,就可以着手写一个自己的PE查看器了,为了加深记忆嘛。
    12.jpg
          有兴趣的也可以自行写一份,代码我也会给出。。。不过技术含量不高,只求大牛们不要喷了。
          那么DOS头也就介绍到这里了。恩恩,这才是一个开始啊,我会继续努力更新的。










    EasyPEv0.10.zip

    137.72 KB, 下载次数: 34, 下载积分: 飘云币 -2 枚

    源代码

    评分

    参与人数 1威望 +8 飘云币 +8 收起 理由
    Dxer + 8 + 8 很给力!

    查看全部评分

    PYG19周年生日快乐!
  • TA的每日心情
    慵懒
    2024-8-29 09:55
  • 签到天数: 58 天

    [LV.5]常住居民I

    发表于 2014-9-18 15:29:12 | 显示全部楼层
    写的这么好为啥没人顶?前排支持~
    PYG19周年生日快乐!
  • TA的每日心情
    开心
    2022-1-20 17:13
  • 签到天数: 291 天

    [LV.8]以坛为家I

    发表于 2014-9-21 21:52:47 | 显示全部楼层
    支持,下来学习学习
    PYG19周年生日快乐!
  • TA的每日心情
    开心
    2019-8-6 08:15
  • 签到天数: 2 天

    [LV.1]初来乍到

    发表于 2014-9-24 23:29:05 | 显示全部楼层

    支持,下来学习学习
    PYG19周年生日快乐!
  • TA的每日心情
    无聊
    2024-2-21 20:23
  • 签到天数: 69 天

    [LV.6]常住居民II

    发表于 2014-11-6 18:28:53 | 显示全部楼层
    代码我也会给出
    PYG19周年生日快乐!
  • TA的每日心情
    无聊
    2024-2-21 20:23
  • 签到天数: 69 天

    [LV.6]常住居民II

    发表于 2014-11-6 18:29:14 | 显示全部楼层

    代码我也会给出
    PYG19周年生日快乐!
  • TA的每日心情
    郁闷
    2017-4-26 19:51
  • 签到天数: 9 天

    [LV.3]偶尔看看II

    发表于 2014-12-17 17:20:29 | 显示全部楼层
    终于找到pe方面的通俗教程了
    PYG19周年生日快乐!
  • TA的每日心情
    慵懒
    2022-4-7 08:08
  • 签到天数: 3 天

    [LV.2]偶尔看看I

    发表于 2014-12-26 11:48:51 | 显示全部楼层
    {:soso_e136:}看晕了,看来要好好练习了
    PYG19周年生日快乐!

    该用户从未签到

    发表于 2015-1-5 09:58:14 | 显示全部楼层
    学习学习感谢大神
    PYG19周年生日快乐!
    您需要登录后才可以回帖 登录 | 加入我们

    本版积分规则

    快速回复 返回顶部 返回列表